Attention aux attaques pirates via les outils Google

Les pirates ne manquent pas d'imagination pour vous voler vos données. 

Work Live démarre un document permettant de recenser les techniques d'attaques les plus courantes, pour vous permettre de mieux vous prémunir. 

Pour inaugurer ce document, voici un exemple d'attaque ciblée particulièrement difficile à détecter, dont j'ai été témoin. 

Et pout cause: l'attaque provient d'un mail réellement envoyé par Google, et incite la victime à cliquer sur un lien effectivement fourni par Google ! 

Comment ça se présente ?

Vous recevez un mail de Google vous indiquant qu’un document a été partagé avec vous.

Le formatage du mail est strictement identique aux mails habituels envoyés par Google dans ce cas de figure.

Le mail étant réellement envoyé par Google, il n’est donc pas bloqué par les systèmes de protection anti-phishing.

Techniquement parlant, le mail est correctement “authentifié” par le système (DMARC validé pour le domaine Google.com)

Pour couronner le tout, le lien du bouton “ouvrir”, est également un vrai lien Google (storage.cloud.google.com). Seul un initié très observateur constatera qu'il ne s'agit pas du lien habituellement fourni pour les partages de documents Drive. 

Lorsque ma victime clique sur le lien, la page redirige vers alors vers une (fausse) page de connexion Google vous demande de vous authentifier, avec éventuellement un Captcha de validation.

La réalité de l’attaque

L’attaquant héberge son application frauduleuse directement sur les services de Google, ce qui lui permet d’utiliser le domaine de “Google.com” pour envoyer des mails d’apparence légitime, ainsi que de renvoyer vers une URL hébergée par google.com.

Le contenu du mail, lui, qui prétend partager un document, est faux.

Il ne s’agit pas vraiment d’un partage Drive, mais d’une réplique parfaite de la charte de notification de partage.

Une fois que vous cliquez sur le lien, vous êtes in fine redirigé vers une page web destinée à vous voler vos identifiants, voir à valider la connexion en deux étapes (code à usage unique).

Pour autant, c'est bien les systèmes de Google, utilisés par le pirate, qui envoient ce mail trompeur. 

D'autres techniques d'attaques similaires

Le partage Drive est devenu un vecteur courant d'attaques pirates.

L'une des approches consiste à envoyer un lien frauduleux stocké dans un vrai document partagé Drive, passant outre les protections mails contre les liens dangereux. 

Faites donc toujours attention avant de cliquer sur un lien dans un mail ou dans un document que vous n'attendiez pas spécialement, avec une origine suspecte, et qui insiste sur l'urgence d'une situation. 

Une parade pour vous alerter. 

Ces différentes techniques visent généralement à vous subtiliser vos identifiants de connexion (identifiant et mot de passe). 

Pour limiter les risques, vous pouvez installer l'extension Chrome "Password Alert". 

Cette extension proposée par Google prendra note de votre vrai mot de passe Google (à la prochaine connexion), et affichera à chaque fois une alerte lorsque vous saisirez ce mot de passe sur une page qui n'est pas une page de connexion Google officielle. 

Pour les administrateurs systèmes, l'avantage de cette extension est double : 

- alerter les utilisateurs lorsqu'ils sont sur une fausse page de connexion Google

- décourager les utilisateurs d'utiliser leur mot de passe de compte Google pour créer leurs comptes sur des sites tiers, souvent moins sécurisés.

Pour rappel, tout comme pour votre mot de passe de compte bancaire, il faut absolument éviter d'utiliser un même mot de passe sur différents sites internet, afin de limiter l'étendue des dégâts si vos identifiants venaient à être dérobés sur l'un d'eux.